WhatsApp yayınladı güvenlik güncellemeleri Android ve iOS için mesajlaşma uygulamasında, savunmasız cihazlarda uzaktan kod yürütülmesine yol açabilecek iki kusuru ele almak.
Bunlardan biri endişe CVE-2022-36934 (CVSS puanı: 9.8), WhatsApp’ta yalnızca bir video görüşmesi kurarak rastgele kod yürütülmesine neden olan kritik bir tamsayı taşması güvenlik açığı.
Sorun, 2.22.16.12 sürümlerinden önceki Android ve iOS için WhatsApp ve WhatsApp Business’ı etkiliyor.
Ayrıca Meta’ya ait mesajlaşma platformu tarafından yamalanan bir tamsayı taşma hatasıdır; bu, bir işlemin sonucu ayrılan bellek alanı içinde değeri depolamak için çok küçük olduğunda meydana gelen ters bir hata kategorisine işaret eder.
CVE tanımlayıcısı verilen yüksek önemdeki sorun CVE-2022-27492 (CVSS puanı: 7.8), 2.22.16.2 sürümlerinden önceki Android için WhatsApp ve iOS için WhatsApp sürüm 2.22.15.9’u etkiler ve özel hazırlanmış bir video dosyası alındığında tetiklenebilir.
sömürmek tamsayı taşmaları ve taşma istenmeyen davranışlara yol açan, beklenmeyen çökmelere, bellek bozulmasına ve kod yürütülmesine neden olan bir basamaktır.
WhatsApp, güvenlik açıkları hakkında daha fazla ayrıntı paylaşmadı, ancak siber güvenlik firması Malwarebytes söz konusu Saldırganın uygulamanın kontrolünü ele geçirmesine izin verebilecek Video Çağrısı İşleyici ve Video Dosyası İşleyicisi adlı iki bileşende bulunurlar.
WhatsApp’taki güvenlik açıkları, güvenliği ihlal edilmiş cihazlara kötü amaçlı yazılım yerleştirmek isteyen tehdit aktörleri için kazançlı bir saldırı vektörü olabilir. 2019 yılında bir sesli arama hatası İsrailli casus yazılım üreticisi NSO Group tarafından Pegasus casus yazılımını enjekte etmek için kullanıldı.